Het mitigeren van aanvallen opinternetinfrastructuur met eBPF
Universiteiten worden steeds vaker doelwit van layer-7 DDoS-aanvallen, met name aanvallen die gericht zijn op hun DNS authoritative nameservers en die kritieke diensten kunnen ontwrichten. Dit project richtte zich op het ontwikkelen van een robuuste verdedigingsstrategie binnen het SURF-netwerk door gebruik te maken van Linux eBPF-programma’s voor real-time, in-kernel filtering van DNS-verkeer. Deze aanpak maakt het mogelijk om pakketten met extreem hoge snelheid te inspecteren en te filteren, wat cruciaal is om de impact van deze high-volume aanvallen op essentiële servers te beperken.
Om het kwaadaardige verkeer effectief te zuiveren, hebben we BGP ingezet om DNS-verkeer dynamisch te routeren naar een speciale eBPF-‘washer’. Deze washer, uitgerust met onze geoptimaliseerde eBPF-filters en Bloom filter-configuraties, analyseert en reinigt het verkeer voordat het de doelwitten, de DNS authoritative nameservers, bereikt. Een belangrijk onderdeel van ons onderzoek was het optimaliseren van deze Bloom filter-configuraties, die essentieel zijn om kwaadaardige DNS-queries snel te identificeren. In deze TechTalk ga ik dieper in op het ontwerp van de eBPF-filters, de BGP-routing naar de washer en de performance-analyse van de gekozen Bloom filters, en deel ik de uitdagingen en inzichten die we hebben opgedaan bij het versterken van academische netwerksecurity.
Spreker